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(57) Abstract: The invention 
relates to a method for ranning 
a plug-in on one or more 
computers, especiaUy for 
monitoring purposes. The plug-in 
is transmitted to at least one 
computer (11.1, 11.2, 113) via 
a networic (2). Afterwards, the 
ping-in prompts the at least one 
computer (11.1, 11.2, 113) to run 
this plug-in. 

(57) Zusammenfassung: Die 
Erfiridung betrifft ein Verfahren 
om ein Plugin auf einem oder 
mehreren Computer, insb. zu 
Oberwachungszwecken. zur 
Aosfilhning zu bringen. Das 
Plogin wird fiber ein Netzweric 
(2) an mindestens einen Computer 
(11.1, 11.2, 113) bberaiittelt 
Anschliessend veranlasst das 
Plagin den mindestens einen 
Computer (ll.l, 11.2, 11.3), 
dieses znr AusfUhrung zu bringen. 
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SERVERUBERWACHUNG 



Die vorliegende Erfindung liegt auf dem Gebiet der Netzwerk-, resp. Intemettech- 
nologie. Die Aufgabe wird durch die in den Patentanspriichen definierte Erfindung , 
geldst 

Heute hat sich besonders das Internet als weltweites Kommunikationsmittel etabliert 
5 Die Qualitat der angebotenen Dienste spielt daher eine wesentliche RoUe. Firmen die 
auf dem Internet ihre Dienstleistungen anbieten, haben ein grosses Interesse, dass 
ihre Server einwandfrei funktionieren und dass unberechtigte Zugriffe friihzeitig er- 
kannt und Massnahmen ergriffen werden konnen. Eine Uberwachung dieser Dienste 
ist bis heute nicht bekannt Aus diesem Grund werden viele auf dem Internet ange- 
10 botene Dienstieistung nicht oder ungenugend in Anspruch genommen. Die Dienste 
weisen hSufig xingenfigende Qualitat (zu lange Antwortzeiten, usw.) auf, was die 
potentiellen Benutzer davon abhalt Unberechtigte Zugriffe und Veranderungen wer- 
den in der Regel nur sehr schlecht und mit Verzogerung erkannt Dies fiihrt dazu, 
dass schadliche Software wie Viren, usw. sich unbemerkt fiber langere Zeitraume 
15 ausbreiten konnen. Schaden weitweit in Milliardenhohe sind keine Seltenheit 

Es ist Aufgabe der vorliegenden Erfindung ein Verfahren zur Ausfuhrung von Plu- 
gins zu zeigen; insbesondere zur Oberwachung von Netzwerken, Intemetdienstlei- 
stungen und Servera 
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Die Idee der hier offenbarten Erfindung basiert lua, darauf, eine Proxy-Server Unter- 
stiitzung des Internet HTTP-Protokolls zum Zweck der automatischen Aufzeichnung 
und der spateren automatischen Wiederabspielung eines Datenverkehrs von einem 
Oder mehreren HTTP-Clients (z-B. Web-Browsem), die mit einem. HTTP-Server 
5 Oder HTTP-Proxy-Server kommunizieren, zu verwenden. Vorzugsweise referentiell 
aufgezeichnete Daten werden dabei in einer Form gespeichert, die es erlaubt den 
voUstandigen Datenverkehr der vom Client und vom Server generiert wird (Re- 
quests), zu einem spateren, bestimmbaren Zeilpunkt automatisch und beliebig oft, 
insb- von versehiedenen geographischen Orten axis und unter Einhaltung von defi- 

10 nierten Kriterien zu wiederholen, zu liberwachen und aiiszuwerten. Der Vorgarig 
erfolgt in der Regel ohne Zutun des urspriinglichen, generierenden Clients. Bei der 
Aufzeichnung eines Datenverkehrs werden ubiicher Weise auch die Antwort-Daten 
des Servers (Responses) ganz oder teilweise aufgezeichnet. Dadurch ist es erstmais 
mSgiich. dass bei einer spateren Anwendung der aufgezeichneten Client-Requests 

15 kontroliiert werden kann, ob der Server analoge» gleichbleibende Daten liefert, oder 
ob er von einer definierten Norm abweichL Dies spielt zur periodischen'Ob^rwa- 
chung von unberechtigten Zugriffen eine relevante RoUe. 

Im Zusanunenhang mit der Uberwachimg z.B. von Viren wird bei Bedarf anstelle 
einer meist erfolglosen Suche nach schadlichen Progranunea die Information peri- 

20 odisch mit gesicherten und vertrauenswiirdigen Referenzdaten (von einem oder meh- 
reren entfemten Standpunkten auis) verglichen. Eine entsprechender Vergleich liefert 
aussagekraftige Daten mit minimalem Aufwand. So ist es z.B. moglich, dass eine 
Firma entsprechende Dienste anbietet indem Sie Referenzdaten von einzelnen Ser- 
vem periodisch mit deren momentanen Verhalten, z.B. zwecks Qualitatssicherung, 

25 vergleicht und iiberwacht Bei Bedarf werden die Antwortzeiten des Servers aufge- 
zeichnet. Die Uberwachung erfolgt vorteilhafter Weise von versehiedenen geografi- 
schen Orten axis, derart, dass eine Dberwachimg iiber mehrere Kanale erfolgt Damit 
ist es zudem moglich die Performance luid Abweichungen derselben von definierba- 
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ren Grenzwerten (insb. uber unterschiedliche Wege) zu vergleichen und auszuwer- 
ten. Entsprechend Alarmmeldungen werden falls erforderlich abgesetzt 

Der Inhalt des Datenverkehrs uber ein gewahltes ProtokoU (bspw. HTTP) spielt beim 
hier beschriebenen Verfahren eine eher untergeordnete Rolle, d*h. es konnen samtli- 
5 che Inhalte aufgezeichnet und wieder abgespielt werden, auch wenn diese z.B. In- 
halte von hoher liegenden ProtokoUen, wie z.B. JavaScript oder SSL. betreffea 
Weitere Anwendungsbeispiele des hier beschriebenen Verfahrens sind, z.B. das Auf- 
zeichnen von interaktiven Webbrowser Surfsessions. Dabei ist es vorteilhaft eine 
Referenz-Session aus einer oder mehreren Sessions zu generieren. Eine Auswertung 

10 und ein spateres Anwenden dieser Surf-Sessions z.B. in Form von Last-Test- 
Routinen dient der referentiellen Uberwachung und der Kontrolle von imberechtigten 
Zugriffen, sowie der Performancemessung. Insbesondere wird auch die Verfugbar- 
keit des Servers iiberwacht, um Hardwaredefekte oder Absturze zu uberwachen, Ein 
Vergleich der referenzierten (aufgezeichneten) Server-Antwortdaten mit dem bei 

15 einer Anwendung derselben auf einen Server, insb. iiber mehrere Kanale oder Pf ade. 
generierten Datenverkehr wird bevorzugt ais Mechanismus zur Erkennung von Mo- 
difikationen des Dateninhalts des Servers sowie zur ortsabhangigen Performance- 
messung eingesetzt Illegale Zugriffe und Veranderungen werden damit zuverlSssig 
und schnell erkannt 

20 Normalerweise sind die z,B. im heute weit verbreiteten HTTP-ProtokoU vorgesehe- 
nen Einsatzzwecke von Proxy-Servem u.a. die folgenden: Zwischenspeichem von 
Daten. zum Zweck der Verkiirzung der Antwortzeiten; ProtokoUierung und Aus- 
wertung des Datenverkehrs zwischen Client und Server, im Hinblick auf die Kon- 
trolle des Surf-Verhaltens individueller naturlicher Personen (Beobachtung und 

25 Kontrolle der Person. Unterdruckung unerwunschter Websites etc,); Unterbindung 
der direkten Verbindung einzelner Computer von Endbenutzem mit dem Internet aus 
Sicherheitsgrunden. Die hier offenbarte Erfmdung basiert in entfemter Weise auf der 
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Funktionalitat eines Proxy-Servers auf. Im Unterschied hierzu wird die eigentliche 
Hauptfunktion eines herkommlichen Proxy-Servers dabei nicht Oder nur in neben- 
sachlicher Weise verwendet. Die hier offenbarte Erfindung weist zu einem her- 
kommlichen Proxy-Server u.a. die folgenden Unterschiede auf: 

5 • Damit aile Dateninhalte zwischen Client und Server werden (zeitlich) kompakt 
atifgezeichnet werden konnen, werden bei der Erfindung samtliche Cache* Me- 
chanismen (sowohl des normalen HTTP-ProtokoUs sowie auch des HTTP-Proxy- 
Protokolis* insb. der direkt dargestellten und der vom Client ausgefuhrten Refe- 
renzen) ausser Acht gelassen (bei Bedarf kann eine Verwendung vorgesehen 
10 werden) oder unterdriickt Die Erfindung erfordert daher in der Regel keinen ei- 
genen Cache. 

• Insbesondere werden gezielt alle Informationen des Clients an den Server und 
des Servers an den Client liber Cache-Moglichkeiten unterdriickt, um zu errei- 
chen, dass alle relevanten Daten iibermittelt werden. 

15 Die Erfindung weist Mittel zur Aufzeichnung auf. Mit eigens dafiir vorgesehenen 
Schnittstellen werden diese Mittel gesteuert ("Start Record"). In diesem Zustand 
werden alle Requests/Responses in einer definierten Datenstruktur gespeichert so, 
dass der Verlauf derselben zu einem spSteren Zeitpunkt mit entsprechenden Mittel 
(beispielsweise einer entsprechend programmierten Maschine) nachvollzogen wer- 

20 den k5nnen. Die z.B. referentiell aufgezeichneten Daten werden mit Vorteil in einer 
entsprechenden Bibliothek angelegt- 

Aus den aufgezeichneten Daten werden bei Bedarf automatisch oder manuell erfin- 
dungsgemasse Plugins erzeugt (vgL hierzu weiter unten), die iiber erfindungsgema- 
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sse Mittel, z.B. Sonden (vgl. hierzu weiter unten), ausfuhrbar sind, derart dass insb. 
von unterschiedlichen Orten aus der selbe Test gleichzeitig durchfiihrbar isL Damit 
ist es moglich einen Server mit verschiedenen oder mehrere Server mit speziellen 
Referenzdaten zu iiberwachen. Die Erfindung lasst sich auf nur einen Client gezielt 
5 Oder aber auf alle Clients anwenden. Bei Clients mit einer separaten Aufzeichnung 
wird vorteilhafter Weise vom Client eine HTTP-Authentification verlangL Diese 
kann bei jedem Request eines Clients danach dazu benutzt werden, xxm die Axifzeich- 
nungsdaten der einzelnen Clients einzeln zu fiihren. 

Es versteht sich von selber, dass die Erfindung falls erforderlich auch HTTP zu 
10 HTTPS (SSL) Konvertierungen bzw. hoher liegende Protokolle unterstutzen kann. 
Beispielsweise konnen, zum Aufzeichnen von HTTPS- Abfragen, vom Client imver- 
schliisselte Anfragen an den Server gemacht werden. Diese unverschliisselten Anfra- 
gen werden dann erst dmch die Erfindung verschlusselt und an den Server weiterge- 
leitet. Die Antwort wird wiederum durch die Erfindung entschlusselt und an den Cli- 
15 ent zuruck geleiteL Dabei ist es besonders vorteilhaft, dass das SSL-Protokoil durch 
die Erfindung entschlusselt wird und nicht erst durch den Client Dadurch ist es 
moglich, den Datenaustausch zwischen Client und Server auch bei einer Verschliis- 
selung aufzuzeichnen. HSherliegende Protokolle werden ztun Zweck der Aufzeich- 
nung/Uberwachung gezielt aufgebrochen, indem Anstelle eines vorgesehen Tunnel- 
20 ling-Verfahrens eine Client-Server-Client-Server Verfahren vorgesehen wird. 

Aus dem Stand der Technik sind Plugins bekannL Plugins sind typischerweise uni- 
versell einsetzbare Programme, die darauf spezialisiert sind, irgendeine Funktion 
auszufiihren. Um ein Plugin zu aktivieren ist eine entsprechende Plugin-Schnittstelle 
erforderlich. Bei Java-Programmen beispielsweise erfolgt dies fiber ein entsprechen- 
25 des Interface. In der Regel ist es so, dass ein Plugin aufgrund einer Anfrage bzw. 
eines Bedarfe eines Programms geladen wird (z.B. von einem Web-Browser). So- 
wohl bei CORBA als auch bei RMI (Java Remote Method Invocation) werden aber, 
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im Unterschied zxir hier offenbarten Erfindung, nxir Daten* bzw. Variablen ausge- 
tauscht, es wird jedoch kein Programmcode ubermittelL Bei den erfindungsgemassen 
Plugins wird im Unterschied zum Stand der Technik typischerweise der Programme 
Code ubertragen. Bei konventionellen Plugins geht zudem der Anreiz zum Laden 
5 eines Plugins immer von dera Ort aus, an dem das Plugin auch ausgefiihrt wird (von 
innen). Bei erHAdungsgemassen Plugins kommt dieser Anreiz jedoch Von einem an- 
deren Ort. also typischerweise von aussen. 

Die erfindungsgemassen Plugins funktionieren vorteilhafter Weise wie folgt: An . 
einem ersten Ort (Ausgangsort) wird zu einem bestimmten Zeitpunkt veranlasst, dass 

10 ein Plugin an einem zweiten Ort (Zielort) mittels einem geeigneten Mittel ausgefiihrt 
werden soil. Das Plugin wird darauf an den zweiten Ort (Zielort) mit einer Aufforde- 
rung zur Ausfuhrung iibertragea Das Resultat besteht also darin. dass am zweiten 
Ort (Zielort) ein Plugin ausgefiihrt wird welches z.B. ein Resultat an den ersten Ort 
(Ausgangsort) zuriickgemeldet Einzige Anforderung am zweiten Ort (Zielort) ist, 

15 dass erfindungsgemasse Plugins empfangbar, resp, ausfiihrbar (= „anspringen*0 sind 
Es ist nicht erforderlich, dass der Zielort iiber den Inhalt des erfindungsgemassen 
Plugins etwas weiss. Aus Sicherheits-Griinden kann aber ein erfindungsgemasses 
Plugin am Zielort gewissen, von aussen sicht- oder unsichtbaren Beschrankimgen 
unterliegen. So kann z.B. festgelegt werden, dass ein erfindungsgemasses Plugin eine 

20 bestimmte Ausfuhriingszeit nicht iiberschreiten darf, etc, Wird eine Verletzung einer 
entsprechenden Beschrankungen registriert, so werden entsprechende Massnahmen 
ergriffen, indem beispielsweise die Ausfiihrung abgebrochen wird (d.h. das Plugin 
wird „get6tet"). Bei einer Realisierung von erfindungsgemassen Plugins, bspw. mit- 
tels der Programmiersprache "Java", wird mittels eines speziellen Class-Loaders am 

25 Zielort „auf Befehl" bestinunte Plugins als "Class" geladea Anschliessend wird da- 
von eine "Instanz" erzeugt, welche dann z.B. fiber ein Plugin-Interface aufg^iifen 
wird. 
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Die erfindungsgemassen Plugins werden in der Regel automatisch mittels einer er- 
findungsgemassen Anordnung erzeugt. Dabei werden in der Regel interaktiv gene- 
rierte Daten z.B. von Surfsessions verwendet Bei den generierten Plugins handelt es 
sich typischerweise um axisfuhrbaren Programmcode. Ein wesentlicher Unterschied 
5 zum Stand der Technik besteht u.a. darin, dass die erfindungsgemassen Plugins in 
der Regel automatisch generiert werden. Ein erfindungsgemasser Recorder, der u.a. 
zur Erzeugung von Plugins dient, hat vorteilhafter Weise ein Web-Interface in der 
Art, dass auch ein technisch nicht versierter Benutzer z.B, eine Surfsession aufzeich- 
nen kann, um diese danach in die zentrale Datenbank von Testanordnungen einzu- 
10 bringen, resp. diese als Plugin zu erstellea Diese Smfsession steht ab dann zur Ver- • 
fugung um Tests jeglicher Art in periodischen oder wiUkiirlichen Zeitintervallen z.B. 
durch Sonden auszufuhren. Diese bewusste End-User-Funktionalitat, die derart kon- 
zipiert ist, dass sie ohne technisches Wissen bedienbar ist, bietet zusatzliche Vorteile. 

Die Erfindung wird anhand der folgenden Figur naher erlautert, Diese zeigt schema- 
15 tisch ein Netzwerk mit Sonden und einem zentralen Dienst 

Figur 1 zeigt eine vorteilhafte Ausfiihrungsform der Erfindung. Ein erfindimgsge- 
masses t)berwachungssystem 1 iiberwacht iiber ein Netzwerk (Inter-ZIntranet) 2« bei 
Bedarf von verschiedenen Punkten 3.1, 3.2, 3.3 aus, beliebige Services von einem 
Host 4 mit Hilfe eines zentralen Dienstes, der bevorzugt mittels einem zentralen Sy- 

20 stem 5 betrieben wird. Test-Konfigurationen, Test-Programme, beispielsweise in 
Form von erfindungsgemassen Plugins, und auch Test-Resultate werden bevorzugt in 
einer Datenbank gespeichert, die sich hier im Bereich des zentralen Systems 5 befin- 
det Auf dem zentralen System 5 lauft ein Programm, welches vorbestimmte oder 
zufallige Testkonfigurationen periodisch und oder aperiodisch, z.B. zu Oberwa- 

25 chungszwecken, oder einmalig iiber viele Instanzen/Kanale 10.1, 10.2, 10.3 parallel, 
Z.B. als Lasttest, zur Ausfiihrung bringt Das zentrale System 5 fuhrt jedoch diese 
Tests in der Regel nicht selbst aus, sondem ubermittelt Test-Programme und Test- 
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Konfigurationen an eigens dafur vorgesehene Mittel, hier Sonden (Computer) 11.1, 
11.2, 11.3. Diese befinden sich vorzugsweise ortlich getrennt in einem Netzwerk 2, 
z.B. bei Providem, in einem Rechenzentrum, usw. In der Regel geschieht die Uber- 
mittlung gleichzeitig an mehrere Sonden (schematisch durch Pfeile 13.1, 13.2, 13.3 
5 dargestellt). Diese fiihren einen oder mehrere Tests aus iind ubermitteln ortsabhSngi- 
ge Resultate an ein zentrales System. Hierbei kann es sich um dasselbe oder ein an- 
deres zentrales System handeln. Das zentrale System 5 (oder bei Bedarf auch eine 
Oder mehrere Sonden 11.1, 11.2, 11.3) analysiert unid speichert die Resultate und 
veraniasst gegebenenfalls weitere Reaktionen (z.B. Alarm auslosen). Beim erfin- 
10 dungsgemassen Verfahren wird ein Plugin zur Ausfiihrung gebracht, indem es iiber 
ein Netzwerk (2) an mindestens einen Computer (11.1. 11.2, 11.3) ubemaittelt wird. 
Das Plugin veraniasst anschliessend den mindestens einen Computer (11.1, 11.2, 
11.3), das Plugin zur Ausfiihrung zu bringen. 



15 Durch die erfindungsgemasse Anordnung von einem oder mehreren zentralen Sy- 
stemen 5 und einer oder mehreren Sonden 11.1. 11.2, 11.3 kann an unterschiedlich 
(geografischen) Orten im Intranet oder Internet getestet werden, ob z.B. ein zu iiber- 
wachendes Zielsystem/Server 4 enreichbar und/oder funktionsfahig ist oder ob es 
gewisse Eigenschaften hat oder ob eine lokale Eigenschaft bei einer Sonde vorhan- 

20 den und ggf. funktionsfahig ist. Beispielsweise wird ein Web-Server von mehreren 
Sonden aus iiberpriift. Dabei wird insbesondere getestet, ob der Webserver von den 
einzelnen Sonden her, also von unterschiedlichen geografischen Punkten aus, er- 
reichbar ist. Ist der Webserver erreichbar, so wird z.B. auch der „Inhalt" des Web- 
Servers getestet werden (Verhalten auf HTTP-Requests). Ebenfalls wird bei Bedarf 

25 ein Lasttest durchgefuhrt werden. Wesentlich ist, dass der Serv^ nicht nur von ei- 
nem Punkt aus, sondem von vielen ttberwacht wird. 
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Die beschriebene erfindungsgemasse Systemarchitektur, bei der von mehreren, ort- 
lich getrennten Punkten aus operiert wird, erganzt mit erfindungsgemassen Plugins, 
die auf Sonden ausgefuhrt werden, ergibt ein universelles Testsystem, dass fast jeden 
erdenklichen Test in einem Intranet bzw. im Internet ausfiihren kann, ohne dass fiir 
5 unterschiedliche Tests die ganze System-Architektur wieder neu programmiert oder. 
erganzt werden muss. Es geniigt in der Regel, dass ein neues erfindungsgemasses 
Plugin typischerweise automatisch mittels einem erfindungsgemassen Recorder er- 
zeugt wird und in eirier Datenbank eines des zentraien Systems gespeichert wiri 
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PATENTANSPRUCHE 



1. Verfahren um ein Plugin zmr Ausfiihrung zu bringen, dadurch gekennzeich- 
net, dass das Plugin uber ein Netzwerk (2) an mindestens einen Computer 
(11.1, 11.2, 11.3) iibermittelt wird und dass dieses Plugin anschliessend den 
mindestens einen Computer (11.1> 11-2, 11.3) veranlasst, das Plugin zur Aus- 
fiihrung zu bringen. 



2. Verfahren gemass Patentanspruch 1, dadurch gekennzeichnet, dass das Flu- 
gin aus einer Datenbank von vielen Plugins entnommen wird. 



3. Verfahren gemass einem der vorangehenden Patentanspriiche, dadurch >§c- 
10 kennzeichnet, dass das Plugin automatisch mittels einer interaktiven Surfses- 

sion generiert wird. 



4. . Verfahren gemass einem der vorangehenden Patentanspriiche, dadurch ge- 
kennzeichnet, dass das Plugin an mehrere, ortlich getrennte Computer (11.1, 
11.2, 11.3) iibermittelt wird und dass das Plugin diese Computer (11.1, 11.2, 
15 11.3) veranlasst das Plugin gleichzeitig oder ungleichzeitig zur Ausfiihrung zu 

bringen. 



5. 



Verfahren gemass einem der vorangehenden Patentanspriiche, dadurch ge- 
kennzeichnet, dass das auf dem mindestens einen Computer (11.1, 11.2, 11.3) 
zur Ausfuhrung gebrachte Plugin den mindestens einen Computer (11.1, 11.2, 
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11,3) veranlasst Daten an einen weiteren fiber ein Netzwerk (2) verbundenen 
Computer (4) zu Uberwachungszwecken zu iibermitteln, 

6. Verfahren gemass Patentanspruch 5, dadurch gekennzeichnet, dass der weite- 
re fiber ein Netzwerk (2) verbundene Computer (4) veranlasst wird Daten an 
5 einen Computer (11.1, 11.2, 11.3) zu fibermittela 

7- Computerprogramm beinhaltend Computerprogrammcode, dadurch gekenn- 
zeichnet, dass es geeignet ist mindestens einen Computer (11.1, 11.2, 11.3) da- 
zu zu veranlassen die Schrifte des Verf ahrens gemass einem der Patentanspru- 
che 1 bis 6 auszufuhren. 



10 8. Computerlesbares Medium beinhaltend Computerprogrammcode, dadurch 
gekennzeichnet, dass es geeignet ist mindestens einen Computer (11.1, 11.2, 
11.3) dazu zu veranlassen die Schritte des Verf ahrens gemass einem der Pa- 
tentanspruche 1 bis 6 auszufuhren. 



wo 01/98899 



PCT/CH0V00373 




Fig.l 



(12) International Publication Published under the Patent Cooperation Treaty 

(19)World Intellectual Property Organization 
International Office 

(43) International Publication Date (10) International Publication Number: 

27 December 2001 (27.12.2001) PCX WO 01/98899 A2 



(5 1 ) International Patent Classification^' 

G06F 9/445 

(21) International File Number: PCT/CHO 1/00373 

(22) International Application Date: 

15 June 2001 (15.06,2001) 

(25) Language in which application was filed: 
Gennan 

(26) Publication Language: Gemian 

(30) Priority: 

1222/00 20 June 2000 (20.06.2000) CH 

(71) Applicant {for all destination countries except 
US) : SYSFORMANCE AG [CH/CH]; 
Badenerstrasse 281, CH-8003 Zurich (CH) 



(72) Inventor; and 

(75) Inventor/Applicant (only for US): FISCHER, 
David [CH/CH]; MQhlemattstrasse 61; CH-3007 Bern 
(CH) 

(74) Representative: FREI ANWALTSBORO; 
Postfach 768, CH-8029 Ztirich (CH) 

(81) Destination Countries (national): AE, AG, AL, 
AM, AT, AU, AX. BA, BB, BG, BR, BY, BZ, CA, 
CH, CN, CO, CR, CU, CZ, DE, DK, DM, DZ, EC, EE, 
ES, FX, GB, GD, GE, GH, GM, HR, HU,ID, IL, IN, IS, 
JP, KE, KG, KP, KR, KZ, LC, LK, LR, LS, LT, LU, 
LV, MA, MD, MG, MK, MN, MW, MX, MZ, NO, 
NZ, PL, PT, RO, RU. SD, SE, SG, SI, SK, SL, TJ, 
TM, TR, TT, TZ, UA, UG, US, UZ, VN, YU, ZA, ZW 



(54) Title: Server Monitoring 
(57) Abstract 

The invention relates to a method for implementing a plugin on one or several computers, m 
particular for monitoring purposes. The plugin is transmitted via a network (2) to at least one 
computer (11,1, 11.2, 11.3). The plugin subsequently initiates the at least one computer to 
execute this plugin. 
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The present invention relates to the field of network, or Internet, technology. The aim of the 
invention is attained by the invention defined in the patent claims. 

The Internet has today become widely established as a worldwide commimication means. 
The quality of the offered serves plays therefore a significant role. Companies offering their 
services on the Internet, have a great interest in the faultless functioning of their servers and 
in the early detection of unauthorized access and in taking timely measures. Monitoring of 
these services is not known at this time. For this reason many services offered on the Internet 
are not at all or only insufficiently utilized. The services frequently are of unsatisfactory 
quality (response time too long, etc.), which deters potential users from utilizing them. As a 
rule, unauthorized access and changes are only poorly detected and with delay. This leads to 
the fact, that harmful software, such as viruses, etc. are undetected and can spread over a 
relatively long period of time. Destruction worldwide in billions are not rarities. 

The aim of the present invention is providing a method for implementing plugins; in 
particular for monitoring networks, Internet services and servers. 

The concept of the invention disclosed here is based on the utilization of a proxy server 
support of the Internet HTTP protocol for the purpose of automatic recording and later 
automatic playback of a data traffic from one or several HTTP clients (for example web 
browsers), which communicate with an HTTP server or HTTP proxy server. Data, 
preferentially recorded as reference, are stored in a form which permits repeating, monitoring 
and evaluating the complete data traffic generated by client and server at a later determinable 
point in time automatically and any desired number of times, in particular from different 
geographic locations and while maintaining defined criteria. As a rule, the process takes place 
without any action by the original, generating client. In recording a data traffic 
conventionally also the response data of the server are recorded entirely or partially. It 
becomes thereby possible for the first time that at a later application of the recorded client 
requests, to check whether or not the server supplies analog constant data, or whether it 
deviates from a defined standard. This is of relevance for the periodic monitoring of 
unauthorized accesses. 

In connection with the monitoring, for example of viruses, if necessary, instead of a most 
often xmsuccessful search for damaged programs, the information is periodically compared 
with secured and trustworthy reference data (from one or several remote locations). A 
corresponding comparison supplies meaningful data with minimum expenditures. For 
example, it is possible that a company offers corresponding services by comparing and 



monitoring reference data from individual servers periodically with their instantaneous 
behavior, for example for the purpose of quality assurance. If needed, the response times of 
the server are recorded. The monitoring takes advantageously place from different 
geographic sites, such that the monitoring takes place across several channels. Therewith it is 
moreover possible to compare and evaluate the performance and discrepancies of the same 
from definable limit values (in particular across different paths). Alarm messages are 
accordingly transmitted if required. 

The content of the data traffic via a selected protocol (for example HTTP) in the method 
described here plays a rather subordinate role, i.e. all of the contents can be recorded and 
played back again even if these relate for example to contents of superior protocols, such as 
for example JavaScript or SSL. Further application examples of the method described here 
are, for example, the recording of interactive web browsers surf sessions. It is advantageous 
to generate one reference session out of one or several sessions. Evaluation and later 
application of these surf sessions, for example in the form of last-test routines serves for 
referential monitoring and the checking of unauthorized accesses, as well as the measurement 
of performance. In particular, the availability of the server is also monitored, in order to 
monitor hardware defects or crashes. A comparison of the referenced (recorded) server 
response data with the data traffic generated during an application of the same onto a server, 
in particular via several channels or paths, is preferably employed as mechanism for detecting 
modifications of data contents of the server as well as for the location-dependent performance 
measurement. Illegal accesses and changes are therewith reliably and rapidly detected. 

The application purposes of proxy servers provided for example in the currently widely 
established HTTP protocol are normally inter alia the following: intermediate storage of data 
for the purpose of shortening the response times; logging and evaluating the data traffic 
between client and server in view of checking the surfing behavior of individual natural 
persons (observation and checking of person, suppression of undesirable web sites, etc.); 
prevention of direct connection of individual computers of end users with the Internet for 
security reasons. The invention disclosed here is remotely based on the functionality of a 
proxy server. However, in contrast to it, the main function proper of a conventional proxy 
server is not utilized or only in a secondary manner, hi contrast to a conventional proxy 
server, the invention disclosed here comprises inter alia the following differences: 

□ In order for all data contents between client and server to be recorded compactly in 
time, in the invention all cache mechanisms (of the normal HTTP logging as well as 
also of the HTTP proxy log, in particular the references represented directly and 
carried out by the client), are not included in the consideration (if necessary, 
utilization can be provided) or are suppressed. For that reason the invention as a rule 
does not require its own cache. 

□ In particular, all of the information of the client to the server and of the server to the 
client are suppressed via cache capabilities in order to attain that all relevant data are 
transmitted. 
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The invention comprises means for recording. With interfaces, specifically provided for this 
purpose, these means are controlled ("start record"). In this state all requests/responses are 
stored in a defined data structure such that the course of the same can be traced back at a alter 
point in time with appropriate means (for example an appropriately programmed machine). 
The data, recorded for example as references, are advantageously deposited in a 
corresponding library. 

If the need arises, plugins according to the invention are generated fi-om these recorded data 
either automatically or manually {cf. in this connection below). The plugins can be 
implemented via means according to the invention, for example probes {cf. in this connection 
below), such that the same tests can be simultaneously performed in particular fi-om different 
sites. It is therewith possible to monitor a server with different reference data or several 
servers with specific reference data. The invention can be applied selectively to one client 
only to all clients. In the case of clients with a separate recording the client advantageously 
demands an HTTP authentication. With each request by a client, this authentication can 
subsequently be utilized to administer the recording data of the individual clients 
individually. 

It is understood that the invention, if required, can also support conversions of HTTP to 
HTTPS (SSL) or higher protocols. For example, for the recording of HTTPS requests, non- 
encrypted requests fi-om the client to the server can be made. These non-encrypted requests 
are in this case only encrypted by the invention and transferred to the server. The response, 
in turn, is decrypted by the invention and transferred back to the client. It is therein 
especially advantageous, that the SSL protocol is already decrypted by the invention and not 
after it reaches the client. It becomes thereby possible to record the data exchange between 
client and server even if it is encrypted. Higher-level protocols are intentionally broken open 
for the purpose of recording/monitoring, thereby that, instead of a provided tunneling 
process, a client-server-client-server process is provided. 

Plugins are known in prior art. Plugins are typically universally applicable programs which 
are specialized to carry out a selected fiinction. To activate a plugin an appropriate plugin 
interface is required. In the case of Java programs, this takes place, for example, across an 
appropriate interface. As a rule, the procedure involves loading a plugin due to a request or a 
demand of a program (for example by a web browser). However, in contrast to the invention 
disclosed here, with CORBA as well as also with RMI (Java Remote Method Invocation) 
only data or variables are exchanged, but no program code is transmitted. In the case of the 
plugins according to the invention, in contrast to prior art, typically the program code is 
transmitted. In conventional plugins the initiation for loading a plugin always originates from 
the site at which the plugin is also execute* (from the interior). However, in the case of 
plugins according to the invention this initiation comes from a different site, thus typically 
from the outside. 
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The plugins according to the invention advantageously fiinction as follows: at a first site 
(original site) at a certain point in time an initiation is started that a plugin is to be executed at 
a second site (target site) by means of a suitable means. The plugin is thereupon transmitted 
to a second site (target side) with a request for execution. Consequently, the result comprises 
that at the second site (target site) a plugin is executed, which for example acknowledges a 
result back to the first site (original site). The sole requirement at the second site (target site) 
is that plugins according to the invention can be received and executed ( = "starts"), 
respectively. It is not required that the target site knows anything about the content of the 
plugin according to the invention. However, for reasons of security a plugin according to the 
invention can be subject to certain restrictions visible or invisible from the outside. For 
example, it may be defined that a plugin according to the invention must not exceed a certain 
execution time, etc. If a violation of a corresponding restriction is registered, appropriate 
measures are taken in that, for example, the execution is terminated (i.e. the plugin is 
"killed"). In the case of realizing plugins according to the invention, for example, by means 
of the programming language "Java", by means of a special class loader at the target site 
'^ipon a command" certain plugins are loaded as a "class". Subsequently therefrom an 
"instance" is generated, which then is called up for example via a plugin interface. 

The plugins according to the invention are generated, as a rule, automatically by means of a 
configuration* according to the invention. Therein, as a rule, interactively generated data, for 
example of surfing sessions, are employed. The generated plugins are typically executable 
program code. A significant difference between the invention and prior art comprises inter 
alia that the plugins according to the invention are, as a rule, generated automatically, A 
recorder according to the invention, which serves, inter alia, for generating plugins, 
advantageously has a web interface in the manner such that even a technically inexperienced 
user, can record for example a surfing session in order to be able to introduce these 
subsequently into the central data base of test configurations* or to establish these as a 
plugin. This surfing session is subsequently available to carry out tests of any type in 
periodic or random time intervals, for example through probes. This intentional end user 
fiinctionality, which is conceptualized such that it can be operated without technical 
knowledge, offers additional advantages. 

The invention will be explained in fiirther detail in conjunction with the following figure. 
The figure depicts schematically a network with probes and a central service. 

Figure 1 shows an advantageous embodiment of the invention. A monitoring system 1 
according to the invention monitors via a network (Inter-Antranet) 2, if required from 
different points 3.1, 3.2, 3.3, any desired service from a host 4 with the aid of a central 
service, which preferably is operated by means of a central system 5. Test configurations, 
test programs, for example in the form of plugins according to the invention, and also test 
results are preferably stored in a data base, which is here located in the proximity of the 
central system 5. On the central system 5 runs a program, which executes predetermined or 
random test configurations periodically and/or aperiodically, for example for the purposes of 
monitoring, or once via many instances/channels 10.1, 10.2, 10.3 in parallel, for example as 
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load test. However, as a rule, the central system 5 does not perform these tests itself, but 
rather transmits test programs and test configurations on means specifically provided for this 
purpose, here probes (computers) 1 1.1, 1 1.2, 1 1.3. These are preferably spatially separated in 
a network 2, for example at providers, in a computer center, etc. As a rule, the transmission 
takes place simultaneously to several probes (indicated schematically by arrows 13.1, 13.2, 
13.3). These perform one or more tests and transmit results, which are site-dependent, to a 
central system. The same or a different central system may be involved. The central system 
5 (or optionally also one or several probes 1 1 .1, 1 1 .2, 1 1 .3) analyzes and stores the results 
and optionally initiates fiirther responses (for example triggers alarm). In the method 
according to the invention a plugin is implemented, in that it is transmitted via a network (2) 
to at least one computer (11,1, 1 1.2, 1 1.3). The plugin subsequently causes the at least one 
computer (1 1 . 1 , 1 1 .2, 1 1 .3) to run the plugin. 

Through the configuration according to the invention of one or several central systems 5 and 
one or several probes 1 1 . 1 , 1 1 .2, 1 1 .3 it is possible to test at different (geographic) sites in the 
Intranet or Internet, whether or not, for example a target system/system 4 to be monitored is 
accessible and/or capable of functioning or whether it has certain properties or whether a 
local property is present in one probe and optionally whether it is capable of fiinctioning. For 
example, a web server is tested by several probes. The test comprises whether or not the web 
server is accessible fi-om the individual probes, thus fi*om different geographic points. If the 
web server is accessible, the "content" of the web server (behavior upon HTTP requests) is 
for example also tested. If required, a load test is also carried out. It is essential, that the 
server is not only monitored firom one point but rather fi-om many points. 

The described system architecture according to the invention, in which operations take place 
fi-om several, spatially separated, points, supplemented with plugins according to the 
invention, which are implemented on probes, yields a universal test system, which is capable 
of executing any conceivable test in an Intranet or in the Internet, without the entire system 
architecture for different tests needing to be programmed anew or needing to be 
supplemented. As a rule it suffices that a new plugin according to the invention is generated 
typically automatically by means of a recorder according to the invention and is stored in a 
data base of one of the central systems. 
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PATENT CLAIMS 

1. Method for implementing* a plugin, characterized in that the plugin is transmitted 
via a network (2) to at least one computer (11 . 1 , 1 1 .2, 1 1 .3) and that this plugin 
subsequently prompts the at least one computer (1 1.1, 1 1.2, 1 1.3) to run* the plugin. 

2. Method as claimed in claim 1, characterized in that the plugin is taken from a data 
base of many plugins. 

3. Method as claimed in one of the preceding claims, characterized in that the plugin is 
automatically generated by means of an interactive surfing session. 

4. Method as claimed in one of the preceding claims, characterized in that the plugin is 
transmitted to several spatially separated computers (1 1 . 1 , 1 1 .2, 1 1 .3) and that the 
plugin prompts these computers (1 1 . 1 , 1 1 .2, 1 1 .3) to run* the plugin simultaneously 
or non-simultaneously. 

5. Method as claimed in one of the preceding claims, characterized in that the plugin 
run on the at least one computer (1 1 . 1 , 1 1 .2, 1 1 .3) prompts the at least one computer 
(1 1 . 1 , 1 1 .2, 1 1 .3) to transfer for the purpose of monitoring data to a further computer 
(4) connected across a network (2). 

6. Method as claimed in claim 5, characterized in that the further computer (4) 
connected across a network (2) is prompted to transfer data to a computer (1 1.1, 1 1.2, 
11.3). 

7. Computer program comprising computer program code, characterized in that it is 
suitable to prompt at least one computer (1 1 . 1 , 1 1 .2, 1 1 .3) to carry out the steps of the 
method according to one of claims 1 to 6. 

8. Computer-readable medium comprising computer program code, characterized in 
that it is suitable to prompt at least one computer (1 1 . 1 , 1 1 .2, 1 1 .3) to carry out the 
steps of the method according to one of claims 1 to 6. 
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